<html><head><meta http-equiv="Content-Type" content="text/html charset=windows-1252"></head><body style="word-wrap: break-word; -webkit-nbsp-mode: space; -webkit-line-break: after-white-space; ">I don't think that's the problem.  I have a 1.5GB pcap that I run for testing a specific type of rule quite regularly and it works fine.<div><br></div><div>What happens when you run </div><div>snort -c /etc/snort.conf -r <file> -l /path/to/alert/file -b</div><div><br></div><div>?</div><div><br></div><div><span style="font-size: 12px; font-family: 'Lucida Grande'; ">--</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; "><b>Joel Esler</b></span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Senior Research Engineer, VRT</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">OpenSource Community Manager</span><br><span style="font-size: 12px; font-family: 'Lucida Grande'; ">Sourcefire</span></div><div><font face="Lucida Grande"><br></font><div><div>On Dec 13, 2012, at 4:34 PM, JJC <<a href="mailto:cummingsj@...11827...">cummingsj@...11827...</a>> wrote:</div><br class="Apple-interchange-newline"><blockquote type="cite">There are also numerous utilities that can split the<br>sessions/conversations out into multiple smaller pcaps..<br><br>JJC<br><br>On Thu, Dec 13, 2012 at 2:14 PM, Giles Coochey <<a href="mailto:giles@...9346...">giles@...9346...</a>> wrote:<br><blockquote type="cite">On 13/12/2012 20:56, Steve Marotta wrote:<br><br>Hi,<br><br><br><br>Is there a way to run Snort in NIDS mode on large (>500MB) pcap dumps? When<br>I try to run snort –dev –l (mylog) –r (myfile) –c /etc/snort.conf, I get,<br>“Value too large for defined data type” and “ERROR: Error getting pcaps”.<br><br><br><br>Is this because the file I’m reading is too large? If so, is there a<br>workaround?<br><br><br><br><br><br>Have you tried tcpreplay to an interface that snort is listening on?<br><br>--<br>Regards,<br><br>Giles Coochey, CCNA, CCNAS<br>NetSecSpec Ltd<br>+44 (0) 7983 877438<br><a href="http://www.coochey.net">http://www.coochey.net</a><br>http://www.netsecspec.co.uk<br>giles@...9346...<br><br><br>------------------------------------------------------------------------------<br>LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>Remotely access PCs and mobile devices and provide instant support<br>Improve your efficiency, and focus on delivering more value-add services<br>Discover what IT Professionals Know. Rescue delivers<br>http://p.sf.net/sfu/logmein_12329d2d<br>_______________________________________________<br>Snort-users mailing list<br>Snort-users@lists.sourceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort<br>news!<br></blockquote><br>------------------------------------------------------------------------------<br>LogMeIn Rescue: Anywhere, Anytime Remote support for IT. Free Trial<br>Remotely access PCs and mobile devices and provide instant support<br>Improve your efficiency, and focus on delivering more value-add services<br>Discover what IT Professionals Know. Rescue delivers<br><a href="http://p.sf.net/sfu/logmein_12329d2d">http://p.sf.net/sfu/logmein_12329d2d</a><br>_______________________________________________<br>Snort-users mailing list<br>Snort-users@lists.sourceforge.net<br>Go to this URL to change user options or unsubscribe:<br>https://lists.sourceforge.net/lists/listinfo/snort-users<br>Snort-users list archive:<br>http://sourceforge.net/mailarchive/forum.php?forum_name=snort-users<br><br>Please visit http://blog.snort.org to stay current on all the latest Snort news!<br></blockquote></div><br></div></body></html>